Escolar Documentos
Profissional Documentos
Cultura Documentos
Introduo a Governana de TI
Curso Online
www.tiexames.com.br
Introduo a Governana de TI
Introduo ao COBIT
Objetivos de Controle
Diretrizes de Gerenciamento e Auditoria
Produtos e Suporte do ITGI
Sobre o Curso
Ao final deste curso voc ir aprender:
Sobre Evoluo da Funo da TI ao longo dos anos
A importncia da TI e como as questes de TI afetam as organizaes;
Conceitos de Governana Corporativa e Governana de TI;
A necessidade de um framework de controle para a Governana de TI;
Como o COBIT atende os requisitos de um framework de Governana de TI;
O relacionamento do COBIT com outros padres e melhores prticas de mercado;
Estrutura do COBIT em detalhes( Objetivos de Controle, Prticas de Controle, Diretrizes
de Gerenciamento, Diretrizes de Auditoria) ;
Os benefcios e desvantagens do uso do COBIT
Os produtos e suporte fornecido pelo ITGI (IT Governance Institute)
Evoluo da TI
Evoluo da TI
A TI tem atuado como um provedor de tecnologia ajudando o negcio a realizar suas
atividades de forma mais eficiente desde o seu surgimento. Durante anos a TI tem se
tornado uma retaguarda para o negcio, chegando no ponto de realizar algumas funes
que at ento seriam impossveis sem a sua ajuda. A TI hoje um elemento essencial para
a organizao.
Maturidade da TI
ITIM = IT Infrastructure Management
Parceiro
Estratgico
Governana de TI
ITSM
Provedor
de Servio
ITIM
Provedor
de Tecnologia
Tempo
Evoluo da TI
A evoluo da TI parte da atuao como Provedor de Tecnologia para um Parceiro
Estratgico. A partir do momento em que a atuao da TI comea a se envolver com o
gerenciamento de valor para o negcio, implementando Governana de TI, ela comea a
se transformar em um parceiro de negcio, possibilitando novas oportunidades de
negcios. Neste estgio, os processos de TI so integrados com o processos do ciclo de
vida do negcio, melhora a qualidade do servio e agilidade no negcio.
A tabela abaixo ilustra a contribuio da TI para o negcio
Provedor de Servios
Parceiro Estratgico
A TI busca eficincia
A TI inseparvel do negcio
Evoluo do Gerenciamento de TI
Para ajudar as organizaes a se moverem ao longo do caminho de transio, vrias
metodologias tem sido definidas durante anos. A figura abaixo mostra a evoluo destas
metodologias e seus nveis de maturidade em termos de Gerenciamento de Servios.
Maturidade do
Gerenciamento de TI
ISO 20.000
BSI 15000
BSI Code &
OGC ITIL 2
Idade
Escura da TI
IBM ISMA
HP ITSM
ITIL
Tempo
1970
1980
1990
2000
2005
Desafios da TI
Desafios da TI
Por muitos anos, algumas organizaes puderam continuar seus negcios, ainda que
tivessem pouco apoio da TI. Hoje a realidade diferente, a Tecnologia da Informao
um fator crtico de sucesso para a organizao. Com o aumento do peso de
importncia dentro da organizao, a TI passou a ter os seguintes desafios:
Manter os servios de TI disponveis
Gerar valor nos projetos de TI
Reduo de Custos e Riscos
Crescimento da complexidade dos
ambientes de TI
Aumento da presso para alavancar
tecnologia nas estratgias de negcio
Conformidade com normas regulatrias
Manter segurana sobre as informaes
Prestador
Servio
Prestador
Servio
TI
Prestador
Servio
empresa
TI
Alinhamento estratgico
Introduo a Governana de TI
Nvel Estratgico
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
Nvel Gerencial
Nvel Operacional
Governana Corporativa
Governana de TI
Externo
Governana
de TI
Interno
Gerenciamento
de TI
Presente
Futuro
Orientao ao
Tempo
Governana de TI e Gerenciamento de TI
Fonte: Peterson(2003) Information Strategies Tactis for Information Technology Governance
Objetivos de Negcio
Governana de TI
Governa e Audita
Servios
Gerencia e Controla
Infra-estrutura
ITSM
Arquitetura de TI
Estruturas de Governana de TI
A Governana de TI pode ter 4 tipos de estrutura de decises dentro de uma organizao,
vejamos abaixo quais so:
Modelos de
Governana
Monarquia de
Negcios
Monarquia de TI
Feudalismo
Federalismo
Duoplio
Cada um dos modelos tem seu prprio benefcio. A escolha mais popular o federalismo,
na qual combina decises centralizadas e descentralizadas. A deciso por qual estrutura
utilizar vai depender muito do contexto da organizao.
Princpios de Governana de TI
O Conselho de Administrao e os Executivos so responsveis pela Governana de TI.
Ela envolve estrutura e processos que dirigem a organizao para alcanar seus
objetivos.
Vamos agora discutir sobre os princpios da Governana de TI.
Direo e Controle
Responsabilidade
Prestao de Contas
Atividades
Princpios de Governana de TI
Direo e Controle
Direo e Controle so dois conceitos chaves da Governana de TI.
Direo: O Diretor fornece direo para implementar uma mudana. Para fornecer uma
direo efetiva, o Diretor precisa entender a mudana pretendida. O Diretor dirige outra
pessoa executar a mudana.
Controle: O Controle assegura que o objetivo alcanado e que nenhum incidente
indesejado ocorra.
Direo
Controle
Planeja a Direo
Compara
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
Executa as Atividades
Mtricas
Relatrios
Relatrios
Princpios de Governana de TI
Responsabilidade
O CEO normalmente o responsvel pelo controle interno. Os diretores seniores
determinam a responsabilidade para o estabelecimento de um controle interno
especfico ao pessoal responsvel pelas unidades funcionais (departamentos). O
Controle interno de responsabilidade de todos em uma organizao e pode ser uma
funo explcita ou implcita.
Direo
Responsabilidade
Controle
Planeja a Direo
Compara
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
Executa as Atividades
Mtricas
Relatrios
Relatrios
Princpios de Governana de TI
Prestao de Contas
Os colaboradores tem a obrigao de prestar contas, fornecer relatrios ou explicar suas
aes sobre o uso de recursos que lhe so transmitidos. Os executivos prestam contas ao
Conselho Administrativo os quais fornecem governana, direo e monitorao. Para cada
um essencial conhecer como suas aes contribuem para alcanar os objetivos da
organizao.
Controle
Prestao de Contas
Direo
Planeja a Direo
Compara
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
Executa as Atividades
Mtricas
Relatrios
Relatrios
Princpios de Governana de TI
Atividades
As atividades de TI so eficientes quando existe uma boa Governana de TI. Normalmente
os Departamentos de TI nas empresas funcionam como se fossem o motor de um
automvel, onde trabalham conforme aes realizadas pelo motorista, que neste caso se
equivale ao Conselho Administrativo.
Controle
Prestao de Contas
Direo
Responsabilidade
Planeja a Direo
Compara
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
Executa as Atividades
Mtricas
Relatrios
Relatrios
Stakeholders de Governana de TI
Um elemento que pode ter responsabilidade relacionada a TI ou usufrui de algum
servio gerado pela funo de TI na empresa considerado um stakeholder na
Governana de TI da empresa.
Escopo da Governana de TI
Ns j discutimos sobre os princpios e stakeholders de Governana de TI. Vamos
agora discutir sobre o escopo de Governana de TI. O Escopo de Governana de TI
pode ser classificado em cinco reas, conforme apresentado abaixo:
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Alinhamento Estratgico
O alinhamento estratgico se refere a alinhar a TI com as estratgias do negcio. A
questo chave verificar se os investimentos da empresa em TI esto em harmonia
com objetivos estratgicos da empresa e ainda est desenvolvendo capacidades
necessrias para entregar valor ao negcio.
Objetivos Estratgicos
Especificar os objetivos
Desenvolver estratgias para alcanar
os objetivos especificados
Desenhar planos de aes para
implementar as estratgias
Alinhamento Estratgico
A TI ainda considerada um mal necessrio, mas considerada estrategicamente ela
pode fornecer a empresa vrios benefcios:
Entrega de Valor
Um outro domnio chave da Governana de TI a Entrega de Valor.
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Entrega de Valor
Os princpios bsicos do valor de TI est na entrega de qualidade apropriada dentro do
prazo e custo, a qual deve atingir os benefcios que foram prometidos. Em termos de
negcio isto pode ser traduzido como: vantagem competitiva, tempo necessrio para o
preenchimento de um pedido/servio, satisfao do cliente, tempo de espera do cliente,
produtividade dos funcionrios e lucro. Para uma entrega de valor TI efetivada ser
alcanada, tanto os custos como o retorno sobre os investimentos devem ser gerenciados.
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
Governana de TI
A Governana de TI procura estabelecer um modelo de medida de valor entregue pela TI
ao negcio antes de embarcar em grandes projetos.
Gerenciamento de Riscos
O Gerenciamento de Riscos de refere ao tratamento das incertezas.
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Gerenciamento de Riscos
O gerenciamento de riscos est diretamente ligado boa governana e envolve, entre outras
coisas, a identificao de riscos sistmicos, tecnolgicos e da informao, a fim de dar maior
proteo aos ativos de TI. Enquanto o objetivo da entrega de servios criar valor, orientado
pelo alinhamento, o gerenciamento de riscos busca preservar valor.
Gerenciamento de Recursos
Gerenciar e otimizar recursos de TI uma outra rea de foco da Governana de TI.
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Gerenciamento de Recursos
Um item chave para a performance de TI ter sucesso o investimento otimizado, uso e
alocao de recursos de TI (pessoas, aplicaes, tecnologia e informao) para atender as
necessidades da organizao. Muitas empresas falham ao maximizar a eficincia dos seus
ativos de TI e a otimizao dos custos relacionados a estes. Ainda relacionado com o
Gerenciamento de Recursos est os servios terceirizados, onde se deve considerar onde
e como terceirizar estes servios de forma que eles gerem o valor prometido a um preo
aceitvel.
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
A Governana de TI ajuda a otimizar Custos e Recursos
Monitorao de Performance
Esta rea envolve a medio e monitorao das atividades da TI.
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Monitorao de Performance
Se voc no poder medir o processo, voc no poder gerenci-lo. Se no existir
nenhuma forma de medir e monitorar as atividades de TI, no possvel governar a TI e
assegurar o seu alinhamento, valor entregue, gerenciamento de riscos, e o uso
adequado dos recursos.
Se voc no poder
medir o processo, voc
no poder gerenci-lo.
Monitorao de Performance
Para ajudar na monitorao de performance
poder ser utilizado a tcnica do Balanced
Scorecard.
BSC(Balanced Scorecard) uma sigla que,
traduzida, significa Indicadores Balanceados de
Desempenho. Este o nome de uma
metodologia voltada gesto estratgica de
empresas que foi criado pelos professores Robert
Kaplan e David Norton em1992.
Balanced Scorecard uma abordagem que
permite a operacionalizao da estratgia,
facilitando a comunicao e a compreenso dos
objetivos estratgicos aos vrios nveis
organizacionais. Atravs do Balanced Scorecard
a direo das empresas dispe de uma viso
integrada do negcio e de um processo contnuo
de monitoramento do desempenho. Integra-se
com facilidade a outras metodologias como CobiT
e ITIL.
Framework de Controle
Vamos entender as caractersticas de um framework de controle e discutir cada uma
delas em detalhes.
Caractersticas:
Foco no negcio
Orientada a processo
Padro aceito
Linguagem comum
Requisitos regulatrios
Orientado a processos
Foco no negcio
Requisitos regulatrios
Padro aceito
Linguagem Comum
Benefcios da Governana de TI
Benefcios da Governana de TI
At agora voc aprendeu sobre os vrios domnios da Governana de TI. Vamos agora
discutir sobre os seus benefcios.
Principais Benefcios que iremos ver:
Confiana da Alta administrao
TI mais comprometida com o Negcio
Retorno sobre o Investimento (ROI) maior
Servios mais confiveis
Mais transparncia
Benefcios da Governana de TI
Confiana da Alta administrao
A TI como sendo um assunto tcnico ela difcil de
ser entendia pelos diretores de negcio. Uma
Governana de TI eficiente pode ajudar a
estabelecer uma comunicao clara para todos.
A linguagem comum tornar os mecanismos de
tomada de deciso mais claros, e facilitar a
transparncia e preciso das informaes
gerenciais.
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
Benefcios da Governana de TI
TI mais comprometida com o negcio
A TI ser mais focada nas necessidades do
negcio. Agilidade, flexibilidade e
comprometimento so atributos vitais para a
funo de TI no suporte ao desenvolvimento
das necessidades do negcio.
Uma Governana de TI eficiente assegurar
que as decises sejam tomadas com mais
fundamento e clareza, reduzindo os riscos nos
investimentos.
Custo
Recursos
Benefcios da Governana de TI
Maior Retorno sobre o Investimento (ROI)
A Governana de TI permite a organizao a aumentar
o seu retorno sobre os investimentos em tecnologias,
assegurando que :
Os investimentos sejam baseados nos benefcios
para o negcio
Previso de custos, benefcios e riscos dos
investimento de forma mais precisa
Reao mais rpida e antecipada diante de
problemas e riscos antecipados
Os requisitos so comunicados de forma eficiente
evitando que a entrega dos resultados dos projetos
no atendam as expectativas
Benefcios da Governana de TI
O valor entregue pela TI pode ser gerenciado em 3 camadas:
Alinhamento
Estratgico
Requisitando o correto
servio de TI
Eficcia
Entregando o correto
servio de TI
Eficincia
Entregando servio de
TI corretamente
Benefcios da Governana de TI
Servios mais confiveis
A Governana de TI assegura que os
processos crticos e os servios de TI sejam
monitorados, e qualquer incidente ou falha de
alta prioridade seja encaminhada e resolvida.
O servios requerem que nveis mais alto de
confiana sejam implementados para
minimizar a probabilidade de uma falha ou
interrupo de um servio.
A Governana de TI assegura riscos menores,
melhor qualidade dos servios e aumento da
satisfao do cliente.
empresa
TI
Alinhamento estratgico
Benefcios da Governana de TI
Mais transparncia
Uma boa governana de TI ir trazer transparncia das atividades de TI, gastos
relacionados com os recursos e servios de TI, com um claro conhecimento como a TI
entrega valor para o negcio da organizao.
A transparncia ir fornecer
oportunidade para refinar os
processos de TI para gerar valor ao
negcio. Sem saber a verdade, as
organizaes jamais vo conseguir
otimizar a forma que elas operam e
como podero gerar valor a partir dos
seus investimentos.
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
Mdulo 2
Introduo ao COBIT
Curso Online
www.tiexames.com.br
Objetivos
Este mdulo ir apresentar os conceitos relacionados ao COBIT, estrutura, aplicaes e
benefcios.
Durante este mdulo iremos:
Princpios do Framework
Framework do COBIT
Processos TI
Critrios de Informao
u
ec
s
o
rs
TI
O que o COBIT?
O COBIT um framework que fornece as melhores prticas para o gerenciamento de
processos de TI, estruturados de uma forma gerencivel e lgica, atendendo as vrias
necessidades de gesto da organizao, tratando os riscos de negcio, questes tcnicas,
necessidades de controle e mtricas de desempenho.
O COBIT no um padro definitivo, ele serve como apoio para a implementao de
controles na Governana de TI.
COBIT
esquema de classificao
Guia
Ferramentas
Exemplos
Framework
Base de Conhecimento
Como implementar
O mtodo ...
Misso do COBIT
Pesquisar, desenvolver, publicar e
promover um conjunto de objetivos de
controle para tecnologia que seja
embasado, atual, internacional e aceito
em geral para o uso do dia-a-dia de
gerentes de negcio e auditores
Aplicao do COBIT
O COBIT foi projetado para utilizao por trs distintos pblicos:
Auditores de Sistemas: para subsidiar suas opinies e/ou prover aconselhamento aos
administradores sobre controles internos.
Evoluo do COBIT
O COBIT foi criado para atender a necessidade de um framework de controle de TI
compreensivo para o negcio, gerncia de TI, auditores, e eliminar as disparidades de
controles e guias de avaliao.
1996
Primeira edio
do CobiT
1998
A segunda verso
do CobiT
2000
A terceira verso
do CobiT
2002
Sarbanes-Oxley
Act
2005
A quarta verso
do COBIT
Origens do COBIT
O COBIT foi desenvolvido a partir do Committee of Sponsoring Organizations of the
Treadway Commission-Internal Control Integrated Framework (COSO), o Controle
de Objetivos original do ISACA, e mais de 50 padres e prticas de mercado em TI.
O COBIT preenche a lacuna entre os modelos de controle de negcio e as melhores
prticas em TI e oferece um modelo para a Governana de TI. Veja abaixo as
principais fontes do COBIT:
Evoluo do COBIT
A 3. Edio do COBIT liberada em 2000 teve o desenvolvimento das diretrizes de
gerenciamento e a atualizao da segunda edio baseada em novas e revisadas
referncias internacionais. Ainda, o Framework do COBIT foi revisado e aprimorado para
suportar uma necessidade de controle maior, introduzir o gerenciamento da performance
e ajudar na implementao da Governana de TI.
Objetivos do
Negcio
Processos do
Negcio
Informao
Recursos TI
Eventos
Informao
Eficcia
Eficincia
Aplicaes
Confidencialidade
Objetivos de negcio
Oportunidades de
negcio
Requisitos externos
Informao
Integridade
Regulamentos
Infra-estrutura
Disponibilidade
Riscos
Conformidade
Confiabilidade
Mensagem
(entrada)
Pessoas
Servio
(sada)
Processos
Atividades
Re
Infra-estrutura
Informao
Dominios
Aplicaes
Procesos de TI
de
e
a
d
a
e
d
a
e
i
i
de
l
a
d
d
d
c
i
i
a
a
a
l
a
id
c cin nci rid ibi
id
l
i
if c
m ab
i
n
e
g
E
or
Ef
id nte spo
fi
f
f
n
n
I
n
i
D
Co
Co
Co
r
u
c
s
o
s
Pessoas
Critrios de Informao
de
TI
Processos TI
Processos de TI
Dominios
Processos
Atividades
Domnios
Os processos do COBIT so agrupados em
4 domnios:
1. Planejamento e Organizao
2. Aquisio e Implementao
3. Entrega e suporte
4. Monitorao e avaliao
Processos
Planejamento e Organizao
Os 4 domnios
possuem 34
Processos. Estes
processos
especificam o que o
negcio precisa
para alcanar seus
objetivos. A entrega
de informao
controlada por 34
objetivos de
controle de alto
nvel, um para cada
processo.
Aquisio e Implementao
Identificar solues automatizadas (solues de TI).
Prover e manter aplicaes de software.
Prover e manter a infra-estrutura tecnolgica.
Entrega e Suporte
Definir e manter os nveis de servio.
Gerenciar os servios de terceiros.
Gerenciar o desempenho e a capacidade.
Garantir o servio ininterrupto.
Garantir a segurana dos sistemas.
Identificar e alocar os custos.
Treinar os usurios.
Monitorao
Monitorar os processos.
Avaliar a adequao do controle interno.
Obter garantia independente.
Prover auditoria independente
Atividades
Existem aes que so necessrias para alcanar resultados mensurveis. As
atividades tem ciclos de vida, mas as tarefas no.
Dominios
Processos
Atividades
Critrios de Informao
Para satisfazer os objetivos de negcio, as informaes precisam estar em conformidade
com os critrios chamados requisitos de negcio.
Requisitos de Qualidade
Qualidade
Custo
Entrega
Requisitos Fiducirios (Relatrio do COSO)
Eficcia e eficincia das Operaes
Confiabilidade das Informaes
Conformidade com Leis e Regulamentos
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade
Critrios de Informao
Recursos de TI
Os recursos de TI so gerenciados pelos processos de
TI para fornecer informao que a organizao precisa
para alcanar seus objetivos.
e
R
os
s
r
cu
TI
Processo de TI
Critrio de Informao
Financeiro
Nmero de Clientes de
TI
Custo por Cliente de TI
Custo-eficincia do
servio de TI
Entrega de valor de TI
por funcionrio
Processo
Cliente
Disponibilidade do
Nvel de Entrega de
Servio
Satisfao do cliente
Nmero de novos
clientes
Nmero de novos
canais de servio
Informao
Aprendizado
Produtividade da Equipe
Nmero de pessoas
treinadas em uma nova
tecnologia
Valor entregue por
funcionrio
Aumento da
disponibilidade do
conhecimento
processo e do sistema
Desenvolvimento
dentro do prazo e no
custo
Tempos de respostas
Quantidade de erros e
retrabalho
Modelos de Maturidade
Os modelos de maturidade de governana so usados
para o controle dos processos de TI e fornecem um
mtodo eficiente para classificar o estgio da organizao
de TI.
Essa abordagem derivada do modelo de maturidade
para desenvolvimento de software, Capability Maturity
Model for Software (SW-CMM), proposto pelo Software
Engineering Institute (SEI). A partir desses nveis, foi
desenvolvido para cada um dos 34 processos do CobiT
um roteiro:
Onde a organizao est hoje
O atual estgio de desenvolvimento da indstria
(fazendo uma comparao da empresa com outras)
O atual estgio dos padres internacionais
Aonde a organizao quer chegar e como ela
planeja isto
Modelos de Maturidade
Modelos de Maturidade
A governana de TI e seus processos com o objetivo de adicionar valor ao negcio
atravs do balanceamento do risco e retorno do investimento podem ser classificados,
seguindo o modelo do CMM (Capability Maturity Model), da seguinte forma:
Orientado ao negcio
Orientao ao negcio um dos temas principais do COBIT. Ele foi criado para no ser
empregado apenas pelos provedores de servio de TI, usurios e auditores, mas tambm, e
mais importante, como um guia para os responsveis pela gesto e negcios da empresa.
O COBIT ajuda a implementar um sistema de controle de gerenciamento, isto porque o
COBIT atua abaixo da tecnologia utilizada pela empresa, tendo um foco maior sobre o
negcio. O COBIT foca em dizer o que precisa ser feito, no se preocupando em como
fazer. O COBIT ir trabalhar com padres e melhores prticas na rea de TI como
questes ligadas a segurana, gerenciamento de projetos, e assim por diante.
Padro de facto
O COBIT um framework nico, no tendo outro similar, pois ele acomoda os padres
internacionais mais importantes e reconhecido como um padro de facto para o
controle de TI. O COBIT est sendo atualizado constantemente para contemplar os
novos cenrios nos negcios.
O ITIL uma
biblioteca das
melhores prticas
para o
gerenciamento de
servios de TI. Ele
focado em como
deve ser os
servios e os
processos de TI.
Fornece
recomendaes
para gesto da
segurana da
informao,
direcionado para
quem responsvel
pela introduo,
implantao ou
manuteno da
segurana em suas
organizaes.
O SEI(Software
Engineering
Institute) a
organizao que
desenhou o
Capability Maturity
Model (CMM). Este
modelo ajuda as
empresas a
melhorem seus
processos de
entrega de software
e controle de
processos.
O Framework
COSO uma
padro aceito
para estabelecer
controles internos
na empresa e
determinar sua
eficcia, pode ser
aplicado a TI
como tambm a
qualquer rea da
empresa.
O PMBOK,
mantido pelo PMI,
uma coleo de
processos e reas
de conhecimento
geralmente
aceitas com
melhores prticas
para o
gerenciamento de
projetos.
ITIL
ISO 17799
CMM
COSO
PMBOK
O COBIT totalmente
compatvel com outros
frameworks.
O que
J existe
Estratgico
Estruturado
Controle
Processo
Melhores Prticas
Execuo
Processo
Instruo
Trabalho
Compartilhamento
De Conhecimento
Melhores prticas internas
Auditvel
Como
Domnios de TI
Especfico
Geral
Holstico
Relevncia para a TI
A relevncia dos padres e prticas variam em cada empresa conforme suas prioridades e
expectativas. Uma empresa pode decidir adotar um padro por inteiro ou somente parte dele
para melhorar a performance de um processo de negcio ou promover a transformao no
negcio. O COBIT est posicionado no centro como um nvel Geral, ajudando a integrar a
parte tcnica, prticas especficas com o negcio de forma geral.
TCO
ITIL
CMMi
COBIT
6 sigma
PMoK
ISO 9000
Malcolm Baldrige Award
Scorecards
Melhoria Contnua em TI
A melhoria continua de TI exige um ciclo de aes
Para onde
queremos ir?
Onde estamos
Como chegamos
l?
Como saberemos
se chegamos?
Viso e Objetivos
Avaliaes
Desenho de TI
Mtricas
ITIL
ISO17799
COBIT
Alinhamento
Conformidade com o COBIT
Segurana ISO17799
Benchmark de custos
Pesquisas de satisfao
ITIL
ISO17799
COBIT
Diretrizes de
Gerenciamento e
Auditoria do COBIT
Componentes do COSO
Funes e Componentes
Sarbanes Oxley
Com o resultado dos escndalos financeiros em grandes empresas em 2001, o Congresso
americano decretou o Ato Sarbanes-Oxley de 2002. Este ato afeta como as empresas de
capital aberto iro apresentar seus relatrios financeiros, e significativamente impacta a
rea de TI. A conformidade com a Sarbanes-Oxley requer mais do que documentao e
estabelecimento de controles financeiros, ela tambem requer a avaliao da infra-estrutura
de TI e suas operaes e pessoal.
Principais Caractersticas da Sarbanes Oxley - Ato de 2002:
Estabelece novos padres de responsabilidade contbil corporativa, confiabilidade e
transparncia dos relatrios financeiros.
nfase na transparncia dos dados para anlise e interpretao dos dados
nfase no uso de um Framework de Controle para avaliao de controles internos.
Penalidades rgidas no caso de danos seja eles intencionais ou no
Implementao de diretrizes do SEC (Securities and Exchange Commission )
Com mais de 300 sees, a SOX provavelmente a legislao mais significante para os
negcios nos EUA.
Sarbanes Oxley
A conformidade com a SOX (Sarbanes Oxley) ir impactar significativamente as
organizaes de TI na maioria das empresas de capital aberto. Entretanto, existe um
grande problema: no existe nenhuma meno especfica nas sees da SOX voltada para
a TI, e mais importante ainda, no existe nenhuma especificao de quais controles
precisam ser estabelecidos dentro da TI para estar em conformidade com a SOX.
Para resolver este problema muitas empresas acabam adotando o COBIT, pelo fato dele
definir quais os objetivos de controle que precisam ser implementados na TI. Alm disto, o
COBIT um modelo independente de plataforma, independe de tecnologia, podendo ser
adotado em qualquer organizao de TI.
O COBIT est sintonizado com os requisitos legais destas leis. O COBIT o nico modelo
de controle que compatvel com o COSO, cobre todas as atividades de TI e aceito
geralmente pela comunidade de auditores.
Assegurando que a TI est em conformidade com o COBIT far com que a maioria dos
requisitos de conformidades j tenham sido implementados. Usando o COBIT far com que
a organizao esteja atendendo a maioria dos requisitos das leis da SOX.
Benefcios do COBIT
Vamos tentar resumir os principais benefcios do COBIT:
O COBIT lida com todos os aspectos dos problemas relacionados com a
Governana de TI
O COBIT foi criado por um grande nmero de especialistas e experts qualificados
O ITGI ajudou com os seus 35 anos de experincia em segurana em TI no
desenvolvimento do COBIT
O COBIT est em manuteno contnua. Periodicamente uma nova verso publicada.
Os patrocinadores do COBIT so organizaes sem fins lucrativos, sua misso ajudar
seus clientes a alcanar seus objetivos principais.
O COBIT pode ser aplicado em empresas de pequeno e grande porte.
Usando o COBIT pode ser introduzido ordem e qualidade em uma poltica de TI
Mdulo 3
Objetivos de Controle
Curso Online
www.tiexames.com.br
Objetivos
Este mdulo descreve os componentes do Framework do COBIT e os objetivos de
controle.
No final deste mdulo voc conseguir:
Framework do COBIT
Framework do COBIT
O Framework do COBIT fornece informaes necessrias para suportar os objetivos de
negcio e seus requisitos. O Framework explica como os Processos de TI entregam
informaes que o negcio necessita para alcanar seus objetivos. A entrega de
informao acontece atravs de 34 objetivos de controle, um para cada processo de TI
dos 4 domnios j vistos.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
reas de foco
Como um framework de controle e governana de TI, o COBIT foca 2 reas chaves:
1. Fornecer informaes necessrias para suportar os objetivos e requisitos de negcio.
2. Tratar informaes como sendo o resultado combinado de aplicaes de TI e
recursos que precisam ser gerenciados por processos de TI.
O Framework do COBIT descreve como os processos de TI entregam informaes que o
negcio precisa para alcanar seus objetivos. Esta entrega controlada atravs de 34
objetivos de controle, um para cada processo dos 4 domnios. O Framework do COBIT tem
3 componentes chaves.
Funes TI
Atividades Independentes
Funes TI
Atividade inter-relacionadas
Processos de TI
Para comear, iremos aprender mais sobre os Processos de TI em detalhes.
Critrios de Informao
Requisitos de Qualidade
Requisitos Fiducirios
Requisitos de Segurana
Processos de TI
Domnios
Processos
Atividades
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Processos de TI
O Framework contem 34 processos de TI, os quais so organizados por domnios.
Critrios de Informao
Planejamento e Organizao
Aquisio e Implementao
Entrega e Suporte
Monitorao e Avaliao
Processos
34 Processos de TI
Requisitos de Qualidade
Requisitos Fiducirios
Requisitos de Segurana
Processos de TI
Domnios
Processos
Atividades
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Controles de Aplicaes
AC1 Transao de Entrada de Dados e Autorizao
A transao de entrada de dados dentro das aplicaes de negcio devem ser preparadas
corretamente por pessoas seguindo polticas internas ou contratos externos incluindo a
preveno e deteco de erros.
AC2 Coleo de Documentos de Origem e Entrada de Dados
A Entrada de dados realizada na hora certa pelos membros autorizados da equipe.
AC3 Exatido, Integridade e Verificao de Autorizao durante o Processamento
Os dados que so entrados no processamento (sejam eles gerados por pessoas ou por
sistemas), devem ser verificados quanto a sua exatido, integridade e validade.
AC4 Integridade e Validade do Processamento de Dados
Verifica se os controles de processamento esto sendo executados corretamente. Executa
a validao, autenticao e edio o mais prximo possvel do ponto de origem dos dados.
AC5 Reviso de Sada, Reconciliao e Gerenciamento de Erros
A exatido e integridade do processamento de dados podem ser verificados atravs de
relatrios que podem fornecer informaes relevantes e identificao de possveis erros.
AC6 Autenticao e Integridade da Transao
Assegura que exista um processo para identificao de transaes no autenticadas.
empresa
TI
Alinhamento estratgico
?
Novos Projetos
Empresa
Servios de TI
Prioridades do Negcio
TI
Performance
PLANEJAMENTO E
ORGANIZAO
MONITORAO
E AVALIAO
DS1 Definir nveis de Servios
DS2 Gerenciar Servios de Terceiros
DS3 Gerenciar Performance e Capacidade
DS4 Garantir Continuidade dos Servios
DS5 Garantir Segurana dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar usurios
DS8 Gerenciar Service Desk e Incidentes
DS9 Gerenciar a Configurao
DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar os Ambientes Fsicos
DS13 Gerenciar Operaes
AQUISIO E
IMPLEMENTAO
ENTREGA E
SUPORTE
Medidas de Controle
As medidas de controle para cada processo de TI no satisfaz todos os requisitos de
negcio no mesmo grau. O Framework do COBIT define 3 graus de controle.
Primrio
Secundrio
Em Branco
Medidas de Controle
A tabela abaixo fornece uma indicao por processo de TI e domnio, informando qual
critrio de informao impactado (P = Primrio, S = Secundrio) por um objetivo controle
de alto nvel e quais recursos de TI so aplicveis.
Recursos de TI
Vamos agora aprender sobre o segundo componente do framework do COBIT,
Recursos de TI.
Critrios de Informao
Processos de TI
Domnios
Processos
Atividades
Requisitos de Qualidade
Requisitos Fiducirios
Requisitos de Segurana
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Recursos de TI
Aplicaes: sistemas automatizados e
procedimentos manuais para processar informaes
e
R
rs
u
c
os
TI
Eventos
Objetivos de negcio
Oportunidades de
negcio
Requisitos externos
Regulamentos
Riscos
Informao
Mensagem
(entrada)
Eficcia
Eficincia
Aplicaes
Confidencialidade
Informao
Integridade
Infra-estrutura
Disponibilidade
Conformidade
Confiabilidade
Pessoas
Servio
(sada)
Critrios de Informao
Vamos agora aprender sobre o prximo componente do framework do COBIT, Critrios
de Informao.
Critrios de Informao
Processos de TI
Domnios
Processos
Atividades
Requisitos de Qualidade
Requisitos Fiducirios
Requisitos de
Segurana
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Critrios de Informao
Para satisfazer os objetivos de negcio, a informaes precisam estar em conformidade com
um critrio especfico. No COBIT estes critrios so chamados de requisitos de negcio para
informao. Para estabelecer a lista de requisitos, o COBIT combina os princpios embutidos
nos modelos de referncias existentes e conhecidos. Estes 3 requisitos so: Requisitos de
Qualidade, Requisitos de Segurana e Requisitos de Fiducirios.
Requisitos de Qualidade
Qualidade
Entrega
Custo
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade
Requisitos Fiducirios
(Relatrio do COSO)
Eficcia e Eficincia
nas operaes
Confiabilidade das
demonstraes financeiras
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
da Informao
Requisitos de Qualidade
Os requisitos de Qualidade asseguram que o sistema est preparado para o seu propsito
e que o processo ir ocorrer com o mnimo de erros possvel. Os requisitos de qualidade
incluem: qualidade, entrega e custo.
Requisitos de Qualidade
Qualidade
Entrega
Custo
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade
Requisitos Fiducirios
(Relatrio do COSO)
Eficcia e Eficincia
nas operaes
Confiabilidade das
demonstraes financeiras
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
da Informao
Requisitos de Segurana
Os requisitos de Segurana incluem: confidencialidade, integridade e disponibilidade.
Requisitos de Qualidade
Qualidade
Entrega
Custo
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade
Requisitos Fiducirios
(Relatrio do COSO)
Eficcia e Eficincia
nas operaes
Confiabilidade das
demonstraes financeiras
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
da Informao
Requisitos Fiducirios
Os requisitos Fiducirios so focados em satisfazer os requisitos corporativos, do setor pblico, legal e
regulatrios.
Os requisitos Fiducirios incluem eficincia e eficcia das operaes, conformidades com leis e
regulamentos, confiabilidade dos relatrios financeiros. Para satisfazer os requisitos regulatrios o
COBIT se baseia nas definies do COSO. Entretanto, o COBIT expandiu o escopo para incluir todas
informaes, no somente informaes financeiras.
Requisitos de Qualidade
Qualidade
Entrega
Custo
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade
Requisitos Fiducirios
(Relatrio do COSO)
Eficcia e Eficincia
nas operaes
Confiabilidade das
demonstraes financeiras
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
da Informao
Categorias
Os 3 requisitos Qualidade, Segurana e Fiducirio so divididos em 7 categorias
distintas que podem se sobrepor.
Eficcia: a capacidade de alar metas e resultados propostos. Trata da informao que
est sendo relevante e pertinente ao processo de negcio, bem como que esteja sendo
entregue de um modo oportuno, correto, consistente e til.
Eficincia: Capacidade de Produzir o mximo nos resultados com o mnimo de recursos.
Diz respeito proviso da informao atravs do uso otimizado (mais produtivo e
econmico) dos recursos. Tem foco na otimizao de custos.
Confiabilidade: Relaciona-se proviso de informao apropriada para a gerncia operar a
entidade e para a gerncia exercer suas responsabilidades de relatar aspectos de
conformidade e finanas .
Conformidade: Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos
quais o processo de negcio est sujeito.
Confidencialidade: Diz respeito proteo da informao sigilosa contra a revelao no
autorizada
Integridade: Relaciona-se exatido e inteireza da informao bem como sua validez
de acordo com os valores e expectativas do negcio
Disponibilidade: Relaciona-se informao que est sendo disponibilizada quando
requerida pelo processo de negcio agora e no futuro. Tambm diz respeito salvaguarda
dos recursos necessrios e s capacidades associadas. Tem foco na Entrega de servios
Objetivos de Controle
Objetivos de Controle
Entendido o framework do COBIT, vamos estudar os conceitos dos objetivos de controle.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
Definies
Definio de Controle
Controle envolve as polticas, procedimentos, prticas e
estruturas organizacionais projetadas para fornecer
segurana para que os objetivos do negcio sejam
alcanados e eventos no desejados sejam prevenidos
ou detectados e corrigidos.
Definio de Objetivos de Controle
Definio de determinados objetivos ou resultados a
serem obtidos ao implementar procedimentos de controle
em uma determinada atividade de TI
Normas
Padres
Objetivos
Compara
Processo
Controle de Informao
Planejamento e Organizao
PO1 Definir um Plano Estratgico de TI
PO2 Definir a Arquitetura de Informao
PO3 Determinar a Direo Tecnolgica
PO4 Definir Processos de TI, Organizao e
Relacionamento
Objetivo de
Controle de Alto
Nvel
Consiste em 4 domnios
Objetivos de
Controle
Detalhados
Objetivo de
Controle de
Alto Nvel
Objetivos de
Controle
detalhados
Objetivos de Controle
Objetivos de controle de alto-nvel
1 por processo
Objetivos de controle detalhado
3 a 15 por processo
Prticas de Controle
5 a 10 por objetivo de controle
Planejamento e Organizao
Objetivos de controle alto-nvel:
PO1 Definir um Plano Estratgico de TI
PO2 Definir a Arquitetura de Informao
PO3 Determinar a Direo Tecnolgica
PO4 Definir Processos de TI, Organizao e
Relacionamento
PO5 Gerenciar o Investimento em TI
PO6 Comunicar Metas e Diretivas Gerenciais
PO7 Gerenciar Recursos Humanos
PO8 Gerenciar Qualidade
PO9 Avaliar e Gerenciar Riscos
PO10 Gerenciar Projetos
Aquisio e Implementao
Objetivos de controle de alto-nvel:
AI1 Identificar solues
AI2 Adquirir e manter software aplicativo
AI3 Adquirir e manter arquitetura tecnolgica
AI4 Desenvolver e manter procedimentos de TI
AI5 Obter Recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e certificar Solues e Mudanas
Entrega e Suporte
Objetivos de controle de alto-nvel:
DS1 Definir nveis de Servios
DS2 Gerenciar Servios de Terceiros
DS3 Gerenciar Performance e Capacidade
DS4 Garantir Continuidade dos Servios
DS5 Garantir Segurana dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar usurios
DS8 Gerenciar Service Desk e Incidentes
DS9 Gerenciar a Configurao
DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar os Ambientes Fsicos
DS13 Gerenciar Operaes
Monitorao e Avaliao
Objetivos de controle de alto-nvel:
ME1 Monitorar e Avaliar a Performance de TI
ME2 Monitorar e Avaliar Controle Interno
ME3 Assegurar Conformidade Regulatria
ME4 Fornecer Governana de TI
Prticas de Controle
Traduz os objetivos de controle do COBIT em prticas detalhadas, implementveis e
fornece uma argumentao de negcio para a implementao, a partir de uma perspectiva
de valor e risco.
Prticas de controle so mecanismos chaves que suportam:
A realizao dos objetivos de controle
Preveno, deteco e correo de eventos no desejados
Prticas de controle so alcanadas atravs de:
Uso responsvel dos recursos
Gerenciamento de riscos apropriado
Alinhamento da TI com o negcio
Planejamento &
Organizao
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Aquisio &
Implementao
Entrega &
Suporte
Monitorao
O controle de
Processos de TI
O qual satisfaz
Requisitos de
Negcio
realizado atravs
Declaraes de
Controle
E Considera
Prticas de
Controle
pessoas
aplicaes
tecnologia
infra-estrutura
informao
Descrio do Processo
Indicadores de Recursos de TI
Objetivos de Controle
Detalhado
Processos
TI
Vamos considerar alguns exemplos de processos chaves que precisam ser controlados
em cada um dos 4 domnios. Elencamos 1 processo de exemplo em cada domnio, isto
nos ajuda a entender como est estruturado o Framework do COBIT. Veja abaixo os
objetivos de controle que iremos apresentar como exemplo:
Domnios de TI
Objetivos de Controle
Planejamento e Organizao
Aquisio e Implementao
Entrega e Suporte
Monitorao e Avaliao
Planejamento e Organizao
O controle dos
Processos de
TI
que satisfaz os
Requisitos de
Negcio
focando as
Metas de TI
mais
importantes
alcanado por
Controles
Chaves
medido pelas
Mtricas
Chaves
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Define as responsabilidades,
relacionamentos, autoridades, critrios de
performance do projeto e especifica bases
para contratao e alocao dos membros
da equipe e/ou contratados para o projeto.
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Aquisio e Implementao
O controle dos
Processos de
TI
que satisfaz os
Requisitos de
Negcio
focando as
Metas de TI
mais
importantes
alcanado por
Controles
Chaves
medido pelas
Mtricas
Chaves
Aquisio e Implementao
Aquisio e Implementao
Aquisio e Implementao
Aquisio e Implementao
Aquisio e Implementao
Entrega e Suporte
O controle dos
Processos de
TI
que satisfaz os
Requisitos de
Negcio
focando as
Metas de TI
mais
importantes
alcanado por
Indicadores para avaliar a performance
dos prestadores de servio.
Controles
Chaves
medido pelas
Mtricas
Chaves
Entrega e Suporte
Entrega e Suporte
Entrega e Suporte
Entrega e Suporte
Entrega e Suporte
Monitorao e Avaliao
O controle dos
Processos de
TI
que satisfaz os
Requisitos de
Negcio
focando as
Metas de TI
mais
importantes
alcanado por
Avalia quais processos esto sendo
monitorados, aes tomadas.
Controles
Chaves
medido pelas
Mtricas
Chaves
Monitorao e Avaliao
Monitorao
Definio e Coleo de Dados para
Monitorao
Mtodo de Monitorao
Avaliao de Performance
Relatrio para o Conselho e Administrao
Aes corretivas
Monitorao e Avaliao
Implementao da Monitorao
Definio e Coleo de Dados para
Monitorao
Mtodo de Monitorao
Avaliao de Performance
Relatrio para o Conselho e Administrao
Aes corretivas
Monitorao e Avaliao
Implementao da Monitorao
Definio e Coleo de Dados para
Monitorao
Mtodo de Monitorao
Avaliao de Performance
Relatrio para o Conselho e Administrao
Aes corretivas
Monitorao e Avaliao
Implementao da Monitorao
Definio e Coleo de Dados para
Monitorao
Mtodo de Monitorao
Avaliao de Performance
Relatrio para o Conselho e Administrao
Aes corretivas
Monitorao e Avaliao
Implementao da Monitorao
Definio e Coleo de Dados para
Monitorao
Mtodo de Monitorao
Avaliao de Performance
Relatrio para o Conselho e Administrao
Aes corretivas
Monitorao e Avaliao
Implementao da Monitorao
Definio e Coleo de Dados para
Monitorao
Mtodo de Monitorao
Avaliao de Performance
Relatrio para o Conselho e Administrao
Aes corretivas
Monitorao e Avaliao
Implementao da Monitorao
Definio e Coleo de Dados para
Monitorao
Mtodo de Monitorao
Avaliao de Performance
Relatrio para o Conselho e Administrao
Aes corretivas
Mdulo 4
Curso Online
www.tiexames.com.br
Objetivos
Este mdulo descreve as diretrizes de gerenciamento e de auditoria.
Ao final deste mdulo voc conseguir:
Diretrizes de Gerenciamento
Objetivos
Ns j aprendemos sobre os objetivos de controle. Agora vamos aprender sobre os
conceitos de diretrizes de gerenciamento.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
Diretrizes de Gerenciamento
Existem muitas questes sendo levantadas pela administrao, como as que temos abaixo.
Estas questes sero respondidas durante este mdulo.
Como os gerentes responsveis iro manter
O navio em curso?
DASHBOARD
Indicadores
SCORECARDS
Mtricas
BENCHMARKING
Comparaes
Diretrizes de Gerenciamento
As Diretrizes de Gerenciamento do COBIT possibilitam os
administradores da organizao a lidar de forma eficiente
com as necessidades e requisitos da governana de TI.
As diretrizes so orientadas a aes e genricas e
fornecem apoio para obter informaes sobre a
organizao e processos relacionados sob controle, para
monitorar o cumprimento das metas da organizao e
para monitorar o desempenho em cada processo de TI e
realizar bechmarking (comparao) com outras empresas
do mesmo setor.
As diretrizes de Gerenciamento iro responder aos
seguintes tipos de questes: quanto tempo mais vamos
levar, e qual o custo justificado para o benefcio? Quais
so os indicadores de performance ideais? Quais so os
riscos de no alcanar nossos objetivos? O que os outros
esto fazendo? Como ns medimos e comparamos?
Scorecards e Mtricas
As Diretrizes de Gerenciamento especificam medidas de resultado em forma de KGIs (Key Gol Indicadors)
e medidas de performance em forma de KPIs (Key Performance Indicators ). Estas medidas de
performance podem ser usadas para medir e monitorar o progresso em direo ao resultado esperado.
As Diretrizes de Gerenciamento do COBIT sugerem utilizar Balanced Business Scorecards, os quais
fornecem mtricas para alcanar as metas de TI. O scorecard tem 4 dimenses que mapeiam as metas e
indicadores de performance:
Para sermos bem sucedidos
financeiramente como devemos ser
vistos pelos nossos acionistas
Descrio do Processo
Critrios de
Informao
The control of
TI process
which satisfy
Business
Requirements
is enabled by
Control
Statements
Recursos
and considers
Control
Practices
Metas, Mtricas
h
h
h
Key Goal
Indicators
h
h
h
Key
Performance
Indicators
h
h
Modelos de Maturidade
0 - Processos de Gerenciamento no
so aplicados a todos.
1 Os processos so desorganizados.
2 Os processos seguem um padro
regular.
3 - Os processos so documentados e
comunicados.
4 Os processos so monitorados e
medidos.
5 As melhores prticas so seguidas
e automatizadas
Entradas
Sadas
Para
PO1
Portfolio de Projetos
Relatrios de Performance do
Projeto
ME1
PO5
PO9
PO7
Matriz de habilidades de TI
Diretrizes de Gerenciamento de
Projetos
AI1....
...AI7
PO8
Padres de Desenvolvimentos
PO8
AI1....
AI7
Reviso ps-implementao
PO1
PO5
...AI7
DS
Tipos de Mtricas
O COBIT usa 2 tipos de mtricas: indicadores de meta e indicadores de performance. Os
indicadores de meta do nvel mais baixo tornam os indicadores de performance para o nvel
mais alto. Os quadros abaixo apresentam as mtricas para o PO10 Gerenciar Projetos.
Relacionamentos
dos processos
Grfico RACI
(atividades e responsabilidades
associadas mais importantes)
Metas de TI &
Mtricas de Performance
Modelos de Maturidade
Modelos de maturidade fornecem uma escala para comparar (fazer benchmarking) as
prticas da empresa em relao a indstria e padres e diretrizes internacionais.
Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua
maturidade para um certo processo de inexistente (0) otimizado (5).
Inexistente
Inicial
Reptivel
Definido
Gerenciado Otimizado
4
1
Inicial
2
Reptivel
3
Definido
4
Gerenciado
5
Otimizado
Modelos de Maturidade
O modelo de maturidade fornecido pelas
Diretrizes de Gerenciamento do COBIT para
os 34 processos de TI est se tornando uma
ferramenta cada vez mais popular para
gerenciar questes tpicas de balanceamento
de riscos e controle de forma a levar em
considerao o custo-efetivo.
Uma caracterstica fundamental do modelo de
maturidade que ele permite uma
organizao medir o nvel de maturidade e
definir quais nveis de maturidade quer chegar
e quais brechas nos processos quer eliminar.
Como resultado, uma organizao pode
descobrir aperfeioamentos prticos para o
sistema de controles internos de TI.
Modelo de Maturidade
para o processo especfico
Planejamento e Organizao
0
Inexistente
1
Inicial
2
Reptivel
3
Definido
4
Gerenciado
5
Otimizado
Anlise de GAP
A Anlise de GAP auxilia os gestores de TI a identificar como esto posicionados os macro
controles de TI da organizao em relao aos padres esperados de mercado e/ou s
suas prprias expectativas. Podemos utilizar a mesma tcnica para os processos de TI
aplicados pelo COBIT. Veja abaixo um exemplo de mapeamento de maturidade dos
processos do domnio de Planejamento e Organizao.
Legenda
Expectativa
Situao atual do processo
Mdia
Diretrizes de Auditoria
Diretrizes de Auditoria
Tendo entendido os objetivos de controle e diretrizes de gerenciamento, vamos agora ver
os conceitos de diretrizes de auditoria.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
Objetivos da Auditoria
A administrao precisa assegurar que as metas e objetivos de TI esto sendo alcanados
e os controles chaves esto sendo aplicados. As diretrizes de gerenciamento descrevem e
sugerem atividades de avaliao para serem executadas para cada um dos 34 objetivos de
controle de alto nvel. Entre os principais objetivos temos:
Diretrizes de Auditoria
O COBIT permite os auditores internos e externos a confrontar processos de TI especficos
com os Objetivos de Controle do COBIT para determinar onde os controles so suficientes
ou aconselhar melhor gerenciamento onde os processos precisam ser melhorados.
O propsito das Diretrizes de Auditoria fornecer uma estrutura simples para controles de
auditoria e avaliao baseados em prticas de auditoria geralmente aceitas, que sejam
compatveis com o esquema de processos do COBIT.
Auditores externos
Auditores internos
Diretrizes de Auditoria
Antes de vermos os componentes das Diretrizes de Auditoria, vamos ver como as
Diretrizes de Auditoria esto vinculadas com os outros componentes do framework do
COBIT.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
Identificao e
Documentao
Obtm um
entendimento dos
riscos relacionados
aos requisitos de
negcio e medidas
de controle
relevantes
Avaliao
Avaliao dos
controles determinados
Testes de
Conformidade
Avaliao da
conformidade testando
se os controles
determinados esto
funcionando como
prescritos,
consistentemente e
continuamente
Testes
Substantivos
Processos.
Recursos
Controles x risco.
Passos e tarefas.
Pontos de deciso.
Auditoria de Processos de TI
Um processo de TI auditado atravs da:
Planejamento e Organizao
PO1 Definir um Plano Estratgico de TI
PO2 Definir a Arquitetura de Informao
PO3 Determinar a Direo Tecnolgica
PO4 Definir Processos de TI, Organizao e
Relacionamento
PO5 Gerenciar o Investimento em TI
PO6 Comunicar Metas e Diretivas Gerenciais
Objetivo de
Controle de Alto
Nvel
Objetivos de
Controle
Detalhados
Diretrizes de
Auditoria
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Obteno de Entendimento
Coleta informaes de fundamento para identificar pontos chaves do negcio, riscos, infra-estrutura, etc
Avaliao de Controles
Analisa os Objetivos de Controle para verificar se estes so apropriados
para a empresa e atendem as necessidades da administrao
Avaliao de Conformidade
Analisa os Objetivos de Controle para testar e/ou medir se existem
controles presentes para suportar os objetivos de controle e se estes esto
operando de forma satisfatria
Anlise de Riscos
Analisa as falhas nos objetivos do negcio, perdas, etc, devido a ausncia de controle adequado
Negcio
requisitos
Informao
Processos
de TI
M
ed
id
o
Au
di
ta
do
do po
r
po
r
Diretrizes
de Auditoria
em
Prticas de
Controle
ur
at
m
e
ad
id
Key Goal
Indicators
Key
Performance
Indicators
Fatores
Critcos de
Sucesso
ra
pa
ra
Pa
rm
fo
r
pe
ce
an
Para resultad
o
o
id
z
du
ra
Objetivos
de Controle
ado
ent
lem
Imp Com
iente
a efic
Torn
z com
efica
po
r
Contr
ola
Modelos de
Maturidade
= levados em considerao
Prticas de Controle
Prticas de Controle
As Prticas de Controle estende a capacidade do COBIT, fornecendo aos usurios um nvel
adicional de detalhes. Os processos de TI do COBIT, requisitos de negcios e objetivos de
controle definem o que precisa ser feito para implementar uma estrutura de controle
efetiva. As prticas de controle de TI fornece mais detalhes de como e porque so
necessrias para a administrao, provedores de servios, usurios finais e profissionais de
controle, para implementar controles especficos baseados na analise de operaes e
riscos de TI.
Prticas de Controle
A figura abaixo fornece um exemplo de prtica de controle para o processo AI6 Gerenciar
Mudanas:
Mdulo 5
Curso Online
www.tiexames.com.br
Objetivos
Este mdulo descreve os vrios produtos e servios fornecidos pelo ISACA e ITGI para
suportar o COBIT.
Durante este mdulo iremos descrever os vrios documentos relacionados com o
COBIT, tais como o COBIT online, COBIT QuickStart, COBIT Security Baseline,
Guia de Implementao de Governana de TI e Prticas de Controle.
Recursos do COBIT
Prticas
Responsabilidades
Executivos & Conselho
Diretrizes de
Gerenciamento
Medidas de Performance
Fatores crticos de sucesso
Modelos de Maturidade
O que um Framework
de controle de TI?
Como introduz-lo
na empresa?
Framework do COBIT
Objetivos de Controle
Prticas de Controle
Diretrizes de Gerenciamento
Guia de Implementao
COBIT QuickStart
COBIT Security Baseline
COBIT Online
Prticas de
Controle
COBIT Quickstart
Guia de
Implementao
de Governana
de TI
COBIT Security
Baseline
COBIT Online
O COBIT online amplia as possibilidades de pesquisa e comparao para evitar riscos
empresariais, satisfazer necessidades de controle e obter informaes sobre aspectos
tcnicos. O COBIT online uma base de recursos na Internet, onde possvel baixar
diversos arquivos em PDF, postar dvidas na comunidade online, obter indicadores para os
objetivos de controles e realizar benchmark para avaliao de maturidade dos processos
com outras empresas do setor.
O COBIT Online est disponvel a partir do site www.isaca.org . Para obter acesso
necessrio ser membro do ISACA ou comprar uma inscrio de acesso.
COBIT Quickstart
O COBIT QuickStart possibilita voc adotar facilmente os elementos mais importantes do
COBIT. uma verso resumida dos recursos do COBIT, representa 20% do contedo. O
COBIT QuickStart foca nos Processos de TI, Objetivos de Controle e mtricas, e ajuda os
usurios a ganhar rapidamente os benefcios do COBIT.
direcionado para empresas de pequeno e mdio porte onde
a TI no estratgica ou absolutamente crtica para a sobrevivncia da empresa
Fornece uma seleo dos itens bsicos do COBIT
Fornece um fundamento das principais aes a executar
Est disponvel a partir do COBIT online
Gerentes
Diretores
Usurios Profissionais
Executivos Seniores
Usurios Domsticos
Executivos
Kit de sobrevivncia
Prticas de Controle
As prticas de controle descrevem quase 1.600 Prticas de Controle, que estende a
hierarquia de Domnio-Processo-Objetivo de Controle. So mecanismos que do suporte
para alcanar os objetivos de controle, como preveno, deteco e correo de eventos
no desejados atravs do uso adequado dos recursos, gerenciamento de riscos apropriado
e alinhamento de TI com o negcio.
As prticas de controle detalham:
Como cada processo pode ajudar a controlar e a
gerenciar riscos
Gerenciamento de riscos atravs da reduo da probabilidade
das conseqncias adversas das ameaas e vulnerabilidades
Aumento dos benefcios atravs dos ganhos de eficincia e/ou
eficcia
Indicadores de performance das Diretrizes de Gerenciamento
do COBIT
Existem pelo menos duas prticas de controle detalhadas para
cada objetivo de controle